A vállalat módosítja és kiszélesíti jelenleg is futó hibavadász programjait, amelyek már a felhasználói adatokkal való visszaélések bejelentéséért is hsonló díjakat fizetnek majd, mint a kódokban talált sérülékenységek azonosításáért.

A Google ismét rákapcsol egy fokozattal az Amdroid rendszert érintő hibavadász programokra, ami ezúttal már nem csak a vállalat saját alkalmazásaiban feltárt hézagok foltozgatását, de a harmadik fél által fejlesztett szoftverek sérülékenységeinek feltárását is célozza. Ez a Google Play Security Reward Program (GPSRP) kiterjesztése kapcsán azt jelenti, hogy a vállalat a legalább 100 millió telepítést jegyző androidos appok esetében is fizet a bugok felfedezőinek, és még akkor is állja a cechet, ha a programok eredeti feljesztője nem gondoz saját bug bounty kezdeményezéseket. A Google ilyen esetekben azt is vállalja, hogy segítséget nyújt a fejlesztőknek a sebezhetőségek javításához.

A GPSRP jelentőségét egyébként nem csak a konkrét hibák azonosítása adja, hanem az is, hogy a sérülékenységekről gyűjtött információk segítenek az olyan automatizált ellenőrzések lefolytatásában, amelyek során a play áruházban szereplő összes alkalmazást megvizsgálnak az adott típusú sebezhetőség után kutatva. Mindez egy másik program, a több mint öt évvel ezelőtt indított App Security Improvement (ASI) keretei között már több mint 300 ezer fejlesztő több mint 1 millió apllikációjában járult hozzá a kisebb-nagyobb hibák javításához.

A Google egyik hivatalos blogján tegnap közzétett bejegyzés szerint ez egyedül az elmúlt évbe azt jelentette, hogy 75 ezer bugos alkalmazást tettek rendbe, mielőtt azokat a felhasználók egyáltalán telepíthették volna az eszközeikre. Az oldalon közölt adatok szerint egyébként a GPSRP program keretei között a társaság eddig 265 ezer dollárt fizetett ki a sebezhetőségeket feltáró külső szakembereknek, az egyes jutalmak összegének emelkedését pedig jól jelzi, hogy ebből 75 ezret az elmúlt néhány hónapban ítéltek oda a bugvadászoknak.

Ahogy már korábban is beszámoltunk róla, az ASI programban tippekkel és ajánlásokkal látják el az androidos alkalmazások készítőit, azonosítva a szoftverek olyan pontjait is, amelyek akár tényleges, akár potenciális biztonsági problémát jelentenek. A Google a javítások egy részére határidőt is szab, máskor következmények nélkül figyelmeztet. A sérülékenységeket ctípusokba és kategóriákba sorolják, valamilyen könyvtárhoz vagy általánosabb validációs problémákhoz kapcsolva azokat. Maguk az appok nem csak a Play áruházba való felvételüket megelőzően esnek át az eljáráson, de a korábban már elfogadott alkalmazásokat is rendszeresen újra szkennelik az eltelt időben felfedezett újabb hibák után kutatva.

Egyre többen keresnek egyre többféle problémát

Egy másik friss bejelentés a Developer Data Protection Reward Program (DDPRP) elindításáról szól, amelynek célja, hogy ugyancsak pénzjutalommal ösztönözzék, ha valaki lerántja a leplet egy-egy alkalmazás rosszindulatú viselkedéséről. Itt nem a fenti, technikai jellegű hibákra kell gondolni, hanem olyasmire, mint amikor az androidos appok, az OAuth projektek vagy a Chrome kiterjesztések szabálytalanul, esetleg visszaélésszerűen gyűjtik és használják a felhasználói adatokat, megsértve a Google Play, a Google API vagy a Google Chrome Web Store Extensions szerződési feltételeit.

Bár a kifizetéseknek ebben az esetben sincs elvi maximuma, a Google azt közölte, hogy az egyetlen bejelentésért adott legmagasabb díjak akár az 50 ezer dollárt is elérhetik majd. A kezdeményezés máskülönben nagyon hasonlóan működik a Google többi hibavadász programjához, a cél viszont ebben az esetben kifejezetten az olyan szituációk azonosítása, amikor felmerül a adatok tájékoztatás nélküli használata vagy értékesítése, illetve az adatok felhasználási módjának anélkül való megváltoztatása, hogy ahhoz aktív beleegyezést szereztek volna.

A programot a HackerOne bevonásával menedzselik, ahol várhatóan még ugyanezen a héten közzéteszik a pontos részleteket. A hibavadász platform a maga részéről nemrég jelentette be, hogy megvannak az első olyan tagjai, akik több mint egymillió dollárt kerestek a bugok feltárásával. Egyelőre hat ilyen személyről van szó, a HackerOne-on keresztül pedig összességében 21 millió dollárnak megfelelő díjakkat fizettek ki az előző év során – ezzel a 2018-as összeg több mint kétszerese lett az előző évinek. A Hackerone várakozásai szerint az így megkeresett díjak egészében véve a 100 millió dollárt is elérik 2020 végéig, a platform pedig több mint egymillió etikus hekkert tarthat nyilván a feliratkozói között.

Biztonság

Bezúzza okostelefonos VR-szemüvegét a Google

A mobilról működtethető Daydream nem igazán érdekelte a felhasználókat, a társaság innentől a kiterjesztett valóságra és az AR alapú szolgáltatásokra koncentrál.
 
Hirdetés

A gyártóipar digitális ébredése

Hogyan teremtenek új generációs ügyfélélményt a digitális platformok?

Elméletben korlátlanok a lehetőségek a virtuális és a kiterjesztett valóság előtt, de a gyakorlatban még mindig nem találta meg a helyét a két technika. A közeljövő azonban formabontó szolgáltatásokat ígér.

a melléklet támogatója az Aruba Cloud

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.